tf
поясни конкретнее про какую ты уязвимость
shellshock
Size: a a a
2020 April 24
tf
Ахах, 4-5 лет назад в винде можно было без разрешения юзера из браузера exe запускать (баннеры вымогатели)
https://www.securitynewspaper.com/2020/02/13/safari-rce-vulnerability-hackers-can-remotely-execute-code-in-your-apple-devices/
В 2020 году код можно выполнять из сафари без всяких exe'шников.
Что сказать-то хотели?
В 2020 году код можно выполнять из сафари без всяких exe'шников.
Что сказать-то хотели?
tf
Такое случается абсолютно везде. И то что вы этого не замечаете - скажите спасибо быстрофиксам и bug bounty программам.
tf
Хотите покажу вам софтину, в которой за 15 лет не нашли ни одной уязвимости?
Это qmail, только вы скорее всего не пользуетесь этим напрямую 🙂
Это qmail, только вы скорее всего не пользуетесь этим напрямую 🙂
SS
shellshock
ну ок
дыра все равно не в конкретной ос, а в ее компоненте
и тут это уже не совсем «рабочий процесс»
дыра все равно не в конкретной ос, а в ее компоненте
и тут это уже не совсем «рабочий процесс»
tf
Уязвимость находили даже в команде true, которая должна просто вернуть true.
Вы только вообразите, как оно случается.
Вы только вообразите, как оно случается.
tf
ну ок
дыра все равно не в конкретной ос, а в ее компоненте
и тут это уже не совсем «рабочий процесс»
дыра все равно не в конкретной ос, а в ее компоненте
и тут это уже не совсем «рабочий процесс»
Вопрос терминологии. ОС это ядро и прочие её компоненты.
Дыры и баги есть во всём этом.
Дыры и баги есть во всём этом.
SS
ну ок
дыра все равно не в конкретной ос, а в ее компоненте
и тут это уже не совсем «рабочий процесс»
дыра все равно не в конкретной ос, а в ее компоненте
и тут это уже не совсем «рабочий процесс»
в особенности эта дырка прососала бы, если бы юзался zsh
tf
В железе есть дыры, ребята, куда уж там 🙂
tf
в особенности эта дырка прососала бы, если бы юзался zsh
А в zsh другая дырка, эх.
tf
Дырки они повсюду - с этим надо смириться и научиться жить, а не закрывать на это глаза и игнорировать
SS
ну прикольно, но тут более обскурно и не факт что найдена была на тот момерт
tf
ну прикольно, но тут более обскурно и не факт что найдена была на тот момерт
Тут ещё один прикол - когда дырку находят, её стараются пореже использовать чтобы не спалиться.
Никто не будет демонстрировать дырки в чатике "на слабо", кроме заведомо устаревших.
Именно поэтому какая-нибудь дырка в whatsapp применялась пару раз ко всяким богатым людям для кражи их данных, а ваших котиков так никто и не скачал 🙂 дыру-то закрыли в итоге.
Никто не будет демонстрировать дырки в чатике "на слабо", кроме заведомо устаревших.
Именно поэтому какая-нибудь дырка в whatsapp применялась пару раз ко всяким богатым людям для кражи их данных, а ваших котиков так никто и не скачал 🙂 дыру-то закрыли в итоге.
tf
И я точно так же не смог бы "на слабо" скачать твоих котиков, потому что я не крутой хацкер, который торгует такой информацией за десятки тыщ денег.
А дырка была (в модуле видеозвонков) и позволяла очень многое. Просто не всем
А дырка была (в модуле видеозвонков) и позволяла очень многое. Просто не всем
SS
я прекрасно знаю, как находятся и юзаются дырки
и эта точечность в любом случае не делает трояны (которые юзер сам несет на свое корыто) показателем дырявости ос
и эта точечность в любом случае не делает трояны (которые юзер сам несет на свое корыто) показателем дырявости ос
tf
Верно
О них никто и не говорит
Потому что запустить вредонос проигнорировав всё можно под любой ос
Обновление в данном случае не спасет
И макось не менее подвержена этому, так что не надо
О них никто и не говорит
Потому что запустить вредонос проигнорировав всё можно под любой ос
Обновление в данном случае не спасет
И макось не менее подвержена этому, так что не надо
tf
Как там? Правой кнопкой и option + open? ;)
tf
это не отменяет что прямо сейчас десяток дыр точно имеется. В браузере, в декодере видео, картинок, в апфс... Везде.
Именно таких дырок, где качать троян не требуется.
А может быть вообще не требуется действий пользователя :))
Именно таких дырок, где качать троян не требуется.
А может быть вообще не требуется действий пользователя :))
tf
Верно
О них никто и не говорит
Потому что запустить вредонос проигнорировав всё можно под любой ос
Обновление в данном случае не спасет
И макось не менее подвержена этому, так что не надо
О них никто и не говорит
Потому что запустить вредонос проигнорировав всё можно под любой ос
Обновление в данном случае не спасет
И макось не менее подвержена этому, так что не надо
Хотя нет.
Грамотный администратор безопасности запретит запускать не подписаные нужными ключами бинари вовсе.
Если не найти в этом уязвимость, то работать будет только разрешенный софт. Придется искать дыры в нем
Грамотный администратор безопасности запретит запускать не подписаные нужными ключами бинари вовсе.
Если не найти в этом уязвимость, то работать будет только разрешенный софт. Придется искать дыры в нем
tf
Например в большом банке венда, но запустить на компе что-то принесенное извне не выйдет